• 09/08/2020
  • 11 minutos para leer
    • D
    • x
    • s

en Este artículo se describe cómo transferir o asumir Operaciones de Maestro Único Flexible (FSMO).,

versión Original del producto: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
número original de KB: 255504

más información

dentro de un bosque de servicios de dominio de Active Directory (AD DS), hay tareas específicas que solo debe realizar un controlador de dominio (DC). Los DCs que se asignan para realizar estas operaciones únicas se conocen como titulares de roles FSMO. En la siguiente tabla se enumeran los roles FSMO y su ubicación en Active Directory.,

para obtener más información sobre los titulares de roles de FSMO y recomendaciones para colocar los roles, consulte Colocación y optimización de FSMO en controladores de dominio de Active Directory.

Nota

Las particiones de aplicaciones de Active Directory que incluyen particiones de aplicaciones DNS tienen vínculos de rol FSMO. Si una partición de aplicación DNS define un propietario para el rol maestro de infraestructura, no puede usar Ntdsutil, DCPromo u otras herramientas para quitar esa partición de aplicación. Para obtener más información, consulte DCPROMO degradación falla si no se puede contactar con el maestro de infraestructura DNS.,

cuando un DC que ha estado actuando como un titular de rol comienza a ejecutarse (por ejemplo, después de un error o un apagado), no vuelve a comportarse inmediatamente como el titular de rol. El DC espera hasta recibir la replicación entrante para su contexto de nomenclatura (por ejemplo, el propietario del rol maestro de esquema espera para recibir la replicación entrante de la partición de esquema).

la información que el DCs pasa como parte de la replicación de Active Directory incluye las identidades de los titulares de rol FSMO actuales., Cuando el DC recién iniciado recibe la información de replicación entrante, verifica si sigue siendo el titular del rol. Si lo es, reanuda las operaciones típicas. Si la información replicada indica que otro DC está actuando como el titular del rol, el DC recién iniciado renuncia a su propiedad del rol. Este comportamiento reduce la posibilidad de que el dominio o bosque tenga titulares de roles FSMO duplicados.

importante

Las operaciones de AD FS fallan si requieren un titular de rol y si el titular de rol recién iniciado es, de hecho, el titular de rol y no recibe replicación entrante.,
el comportamiento resultante se asemeja a lo que sucedería si el titular del rol estuviera fuera de línea.

determinar cuándo transferir o aprovechar roles

en condiciones típicas, los cinco roles deben asignarse a DCs «en vivo» en el bosque. Al crear un bosque de Active Directory, el Asistente de instalación de Active Directory (Dcpromo.exe) asigna los cinco roles FSMO al primer DC que crea en el dominio raíz del bosque. Al crear un dominio secundario o de árbol, Dcpromo.exe asigna los tres roles de todo el dominio al primer DC del dominio.,

los DCs continúan siendo propietarios de roles FSMO hasta que se reasignan mediante uno de los siguientes métodos:

  • Un administrador reasignael rol mediante una herramienta administrativa GUI.
  • Un administrador reasigna el rol usando el comando ntdsutil /roles.
  • Un administrador degrada correctamente un DC que contiene funciones mediante el Asistente para la instalación de Active Directory. Este asistente reasigna todos los roles mantenidos localmente a un DC existente en el bosque.
  • Un administrador degrada un DC que tiene un rol mediante el comando dcpromo /forceremoval.,
  • El DC se apaga y se reinicia. Cuando el DC se reinicia, recibe información de replicación entrante que indica que otro DC es el titular del rol. En este caso, el DC recién iniciado renuncia al rol (como se describió anteriormente).

si un titular de rol FSMO experimenta un fallo o es retirado del servicio antes de que sus roles sean transferidos, debe aprovechar y transferir todos los roles a un DC apropiado y saludable.,

le recomendamos que transfiera roles FSMO en los siguientes escenarios:

  • El titular del rol actual está operativo y el nuevo propietario de FSMO puede acceder a él en la red.
  • está degradando con gracia un DC que actualmente posee roles FSMO que desea asignar a un DC específico en su bosque de Active Directory.
  • El DC que actualmente posee roles FSMO se está desconectando para el mantenimiento programado, y debe asignar roles FSMO específicos a DCS en vivo. Es posible que tenga que transferir roles para realizar operaciones que afectan al propietario de FSMO., Esto es especialmente cierto para el rol de emulador PDC. Este es un problema menos importante para el rol maestro RID, el rol maestro de nombres de dominio y los roles maestros de esquema.

le recomendamos que aproveche los roles FSMO en los siguientes escenarios:

  • el titular del rol actual está experimentando un error operativo que impide que una operación dependiente de FSMO se complete correctamente y no puede transferir el rol.

  • utiliza el comando dcpromo /forceremoval para forzar la degradación de un DC que posee un rol FSMO.,

    importante

    el comando dcpromo /forceremoval deja los roles FSMO en un estado no válido hasta que son reasignados por un administrador.

  • el sistema operativo del equipo que originalmente poseía un rol específico ya no existe o se ha reinstalado.

Nota

  • le recomendamos que solo aproveche todos los roles cuando el titular del rol anterior no regrese al dominio.,
  • si los roles FSMO tienen que ser incautados en escenarios de recuperación de bosques, consulte el paso 5 en realizar recuperación inicial en la sección Restaurar el primer controlador de dominio con escritura en cada dominio.
  • después de una transferencia o confiscación de funciones, el nuevo titular de funciones no actúa inmediatamente. En su lugar, el nuevo titular de rol se comporta como un titular de rol reiniciado y espera a que su copia del contexto de nomenclatura para el rol (como la partición de dominio) complete un ciclo de replicación entrante exitoso., Este requisito de replicación ayuda a asegurarse de que el nuevo titular de rol esté lo más actualizado posible antes de tomar medidas. También limita la ventana de oportunidad para errores. Esta ventana solo incluye los cambios que el titular del rol anterior no terminó de replicar en el otro DCs antes de que se desconectara. Para obtener una lista del contexto de nomenclatura para cada rol FSMO, consulte la tabla en la sección Más información.,

identificar un nuevo titular de rol

el mejor candidato para el nuevo titular de rol es un DC que cumpla con los siguientes criterios:

  • reside en el mismo dominio que el anterior titular de rol.
  • Tiene la copia replicable de escritura más reciente de la partición de rol.

por ejemplo, suponga que tiene que transferir el rol maestro de esquema. El rol maestro de esquema forma parte de la partición de esquema del bosque (cn=Schema,cn=Configuration,dc=<dominio raíz del bosque>)., El mejor candidato para un nuevo titular de rol es un DC que también reside en el dominio raíz del bosque y en el mismo sitio de Active Directory que el titular de rol actual.

precaución

no coloque el rol maestro de infraestructura en el mismo DC que el servidor de catálogo global. Si el maestro de infraestructura se ejecuta en un servidor de catálogo global, deja de actualizar la información del objeto porque no contiene ninguna referencia a objetos que no contiene. Esto se debe a que un servidor de catálogo global contiene una réplica parcial de cada objeto en el bosque.,

para probar si un DC es también un servidor de catálogo global, siga estos pasos:

  1. seleccione Inicio > programas > Herramientas administrativas > sitios y servicios de Active Directory.
  2. En el panel de navegación, haga doble clic en sitios y, a continuación, busque el sitio apropiado o seleccione Default-first-site-name si no hay otros sitios disponibles.
  3. abra la carpeta Servers y, a continuación, seleccione DC.
  4. en la carpeta de DC, haga doble clic en configuración de NTDS.
  5. En el menú Acción, seleccione Propiedades.,
  6. en la ficha General, vea la casilla Catálogo Global para ver si está seleccionada.

para obtener más información, consulte:

  • AD Forest Recovery – Seizing an operations master role
  • Planning Operations Master Role Placement

seizure or transfer FSMO roles

puede utilizar Windows PowerShell o Ntdsutil para apoderarse o transferir roles. Para obtener información y ejemplos de cómo usar PowerShell para estas tareas, consulte Move-ADDirectoryServerOperationMasterrole.,

importante

Si tiene que aprovechar el rol maestro RID, considere usar el cmdlet Move-ADDirectoryServerOperationMasterrole en lugar del Ntdsutil.utilidad exe.

para evitar el riesgo de SID duplicados en el dominio, Ntdsutil incrementa el siguiente RID disponible en el grupo en 10.000 cuando se utiliza el rol maestro RID. Este comportamiento puede hacer que su bosque consuma completamente sus rangos disponibles para los valores RID (también conocido como rid burn). Por el contrario, si utiliza el cmdlet de PowerShell para aprovechar el rol maestro RID, el siguiente RID disponible no se verá afectado.,

para aprovechar o transferir los roles FSMO mediante la utilidad Ntdsutil, siga estos pasos:

  1. inicie sesión en un equipo miembro que tenga instaladas las herramientas AD RSAT o en un DC ubicado en el bosque donde se transfieren los roles FSMO.

    Nota

    • le recomendamos que inicie sesión en el DC al que está asignando roles FSMO.,
    • El usuario que ha iniciado sesión debe ser miembro del grupo Administradores de empresa para transferir roles maestros de esquema o nombres de dominio, o miembro del grupo Administradores de dominio del dominio al que se transfieren los roles maestro PDC, maestro RID y maestro de infraestructura.

  2. Seleccione Inicio > Ejecutar, escriba ntdsutil en el cuadro Abrir y, a continuación, seleccione ACEPTAR.

  3. escriba roles y, a continuación, presione ENTRAR.

    Nota

    Para ver una lista de comandos disponibles en cualquiera de las indicaciones en la utilidad Ntdsutil, escriba ?,, y luego presione ENTRAR.

  4. escriba conexiones y, a continuación, presione ENTRAR.

  5. Escriba conectarse al servidor <servername> y, a continuación, presione Entrar.

    Nota

    En este comando, <servername> es el nombre del controlador de dominio que desea asignar la función FSMO.

  6. en el símbolo del sistema de conexiones del servidor, escriba q y, a continuación, presione ENTRAR.,

  7. realice una de las siguientes acciones:

    • para transferir el rol: escriba transfer<role> y, a continuación, pulse Intro.

      Nota

      En este comando, <papel> es la función que desea transferir.

    • para aprovechar el rol: escriba seize <role>, y luego presione ENTRAR.

      Nota

      En este comando, <papel> es la función que desea asumir.,

    por ejemplo, para aprovechar el rol maestro RID, escriba aprovechar maestro rid. La única excepción es para el rol de emulador PDC, cuya sintaxis es seize pdc, no seize pdc emulator.

    para ver una lista de roles que puede transferir o aprovechar, escriba ? en la solicitud de mantenimiento de fsmo, y luego presione ENTRAR, o vea la lista de roles al comienzo de este artículo.

  8. en el símbolo del sistema de mantenimiento de FSMO, escriba q y, a continuación, presione ENTRAR para obtener acceso al símbolo del sistema ntdsutil. Escriba q y, a continuación, presione ENTRAR para salir de la utilidad Ntdsutil.,

si es posible, y si usted es capaz de transferir los roles en lugar de apoderarse de ellos, fijar el titular del rol anterior. Si no puede corregir el titular de rol anterior, o si se apoderó de los roles, elimine el titular de rol anterior del dominio.

importante

Si va a utilizar el equipo reparado como un DC, le recomendamos que reconstruya el equipo en un DC desde cero en lugar de restaurar el DC desde una copia de seguridad. El proceso de restauración reconstruye el DC como un titular de papel de nuevo.,

  • para devolver el equipo reparado al bosque como DC

    1. realice una de las siguientes acciones:

      • Formatee el disco duro del antiguo titular de rol y, a continuación, vuelva a instalar Windows en el equipo.
      • degradar forzosamente al antiguo titular del rol a un servidor miembro.

    2. en otro DC del bosque, use Ntdsutil para eliminar los metadatos del titular del rol anterior. Para obtener más información, consulte para limpiar los metadatos del servidor mediante Ntdsutil.,

    3. después de limpiar los metadatos, puede volver a promover el equipo a un DC y transferir un rol de nuevo a él.

  • Para quitar el equipo de del bosque después de la incautación de sus funciones

    1. Quitar el equipo del dominio.
    2. en otro DC del bosque, use Ntdsutil para eliminar los metadatos del titular del rol anterior. Para obtener más información, consulte para limpiar los metadatos del servidor mediante Ntdsutil.,

consideraciones al reintegrar Islas de replicación

Cuando parte de un dominio o bosque no puede comunicarse con el resto del dominio o bosque durante un tiempo prolongado, las secciones aisladas de dominio o bosque se conocen como islas de replicación. Los SCD de una isla no pueden replicarse con los SCD de otras islas. Durante varios ciclos de replicación, las Islas de replicación no se sincronizan. Si cada isla tiene sus propios titulares de roles FSMO, es posible que tenga problemas cuando restablezca la comunicación entre las Islas.,

importante

en la mayoría de los casos, puede aprovechar el requisito de replicación inicial (como se describe en este artículo) para eliminar a los titulares de roles duplicados. Un titular de rol reiniciado debe renunciar al rol si detecta un titular de rol duplicado.puede encontrar circunstancias que este comportamiento no resuelve. En tales casos, la información de esta sección puede ser útil.,

la siguiente tabla identifica los roles FMSO que pueden causar problemas si un bosque o dominio tiene varios titulares de roles para ese rol:

rol conflictos potenciales entre varios titulares de roles?,
Schema master Yes
Domain naming master Yes
RID master Yes
PDC emulator No
Infrastructure master No

This issue does not affect the PDC Emulator master or the Infrastructure master. These role holders do not persist operational data., Además, el maestro de infraestructura no realiza cambios a menudo. Por lo tanto, si varias islas tienen estos titulares de roles, puede reintegrar las Islas sin causar problemas a largo plazo.

El Maestro de esquema, el maestro de nombres de dominio y el maestro RID pueden crear objetos y mantener los cambios en Active Directory. Cada isla que tenga uno de estos titulares de roles podría tener objetos de esquema, dominios o grupos de RID duplicados y en conflicto en el momento en que restaure la replicación. Antes de reintegrar las Islas, determine qué titulares de roles mantener., Elimine los maestros de esquema duplicados, Los maestros de nombres de dominio y los maestros de RID siguiendo los procedimientos de reparación, eliminación y limpieza que se mencionan en este artículo.,proceso de transferencia e incautación de iones

  • Cómo: usar Ntdsutil para encontrar y limpiar identificadores de seguridad duplicados en Windows Server
  • solucionar problemas de ID de evento DNS 4013: el servidor DNS no pudo cargar las zonas DNS integradas de AD
  • La degradación de DCPROMO falla si no puede ponerse en contacto con el maestro de infraestructura DNS
  • limpie los metadatos del servidor usando ntdsutil
  • Planificación de operaciones colocación de roles maestros
  • Move – addirectoryserveroperationmasterrole

    • Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *